個人情報とは？定義や具体例、取扱い方法についても徹底解説！

１．個人情報とは

⑴個人情報の定義

「個人情報」とは、生存する個人に関する情報であって他の情報と照合することによって特定の個人を識別することができる情報のことです。

⑵個人情報の具体例

個人情報に該当するものはたくさんありますが、具体的に以下が個人情報とされています。

• 名刺
• 従業員名簿
• 年末調整関係書類

など

また近年では、インターネットの普及に伴い、SNSの投稿内容や閲覧履歴、位置情報、顔写真、防犯カメラの映像、静脈、指紋、虹彩等の生体情報は個人を特定することができるため個人情報とされています。

⑶個人情報と「要配慮個人情報」の違い

要配慮個人情報とは第三者に知られると本人に対する不当な差別・偏見その他の不利益が生じる可能性がある情報を要配慮個人情報といいます。

要配慮個人情報の定義としては以下になり、会社で取扱う要配慮個人情報としては「健康診断結果」「ストレスチェック結果」「障害者手帳」「在留カード」が該当します。

• 人種
• 信条
• 社会的身分
• 病歴
• 犯罪の経歴
• 犯罪の被害にあった事実
• 身体障害・知的障害・精神障害等があること
• 健康診断等の結果
• 保健指導・診療・調剤に関する情報

要配慮個人情報は他の個人情報より厳密に取扱う必要があるため、要配慮個人情報を取得する際には
どういう目的で使用するか本人の同意を得て取得する必要があります。

2．個人情報に関連する定義との違い

⑴個人情報データベース等

「個人情報データベース等」とは、個人情報を含む情報の集合物で以下のことをいいます。

①特定の個人情報をコンピュータで検索できるように体系的に構成したもの
（例）WordやExcelデータで管理されている顧客管理名簿・診療記録・介護記録など

②コンピュータを用いていない場合であっても、特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているもの
（例）紙媒体で五十音順や生年月日順に索引をつけた顧客カード・診療記録・介護記録など

⑵個人データ

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。

顧客管理名簿や診療記録などを構成している個々の情報を指します。

⑶保有個人データ

保有個人データとは、本人から以下の開示請求があった場合、個人情報取扱事業者が全てに対応することができる個人情報を保有個人データといいます。

• 開示（見せてほしい）
• 利用目的の通知（なんのために使ってるか知りたい）
• 内容の訂正、追加又は削除（一部を訂正、追加、削除してほしい）
• 利用又は提供の拒否（使わないで、提供しないで）

３．個人情報保護法の概要

⑴個人情報保護法とは？

個人情報保護法とは、個人情報の保護に関する法律です。
デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため個人情報保護法は3年に1回の改正が行われます。

⑵個人情報保護法違反のリスク

個人情報保護法に違反した場合、会社は違反者には以下のような法的責任者リスクがあります。

• ①刑事責任…違反行為者・法人への刑事罰
• ②民事責任…被害者に対する損害賠償責任
• ③社会責任…企業のレピュテーションリスク（信用低下）

４．実際にあった個人情報保護法の違反事例

⑴不正アクセスで個人情報漏洩

メッセージアプリの利用者の個人情報が不正アクセスで流出し、運営会社に個人情報保護法違反があったとして、個人情報保護委員会は、通信アプリを提供している会社に是正勧告を出すと同時に、個人データを扱う際の安全管理体制に不備があったと認定し、運営会社に改善状況の報告を求めました。

⑵従業員による個人情報の不正持ち出し

大手通信会社の子会社から約900万件の個人情報が流出し、個人情報保護委員会は子会社2社に対し、情報管理体制の不備等による個人情報保護法違反があったとして是正勧告を出しました。

取引先の企業や自治体等が取り扱っている個人データ約900万人分を元派遣社員の男が不正に持ち出し、漏えいしたとされています。

個人情報の流出被害に遭った企業や自治体が、大手通信会社側に対して損害賠償請求に踏み切ることも予想されます。

⑶顧客に対する個人情報の販売

就職情報サイトの運営会社が就活生の同意を得ずに「内定辞退率」の予測を顧客企業に販売していた事例です。
同意を得ずに約8,000人の利用者のデータを第三者に提供したこと等が、個人情報保護法違反にあたると判断されました。
くわえて、個人情報保護委員会から指摘を受けるまで状況を放置していた管理体制の不備も問題視され、適切な情報管理体制の整備を求められました。

５．個人情報や個人データを取り扱う際のルール

⑴個人情報の取得・利用

個人情報を取得する際にはどういう目的で使用するのか本人に明示し、同意を得る必要があります。
取得した個人情報は当初本人に明示した利用目的範囲内で使用する必要があります。
もし当初の利用目的範囲外で個人情報を使用する場合は、新たに本人の同意を得る必要があります。

要配慮個人情報を取得する場合はどういう目的で使用するのか本人に明示して同意を得る必要があります。

⑵個人データの保管・管理

個人データに関する事故が起こらないよう安全に管理するために必要な措置を講じなければなりません。
例えば紙媒体であれば鍵付きキャビネットに保管する、クラウドに保管する場合はアクセス権を設定する等です。
要配慮個人情報については取扱い担当者を限定して管理することで事故のリスクを軽減することができます。

⑶個人データを第三者に提供

個人データを第三者に提供する場合は、あらかじめ本人から同意を得る必要があります。
ただ、以下の場合に本人に同意を得なくても第三者提供することができます。

• 法令に基づく場合
• 人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合
• 公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合
• 学術研究目的での提供・利用、委託・事業承継・共同利用

⑷本人から保有個人データの開示を求められたら

本人から保有個人データの開示請求があった場合、延滞なく対応する必要があります。
場合によっては対応しなくていい例外措置がありますが、その場合でもなで対応しないのかを本人に回答する必要があります。

6．企業における個人情報の取り扱い方法

⑴顧客情報の取り扱い

顧客から得た個人情報は、その利用目的を明確にし、その範囲内でのみ使用します。
また、情報の漏洩防止のため、適切なセキュリティ対策を講じ、不要になった情報は適切に廃棄します。

⑵従業員情報の取り扱い

従業員の個人情報も適切に管理する必要があります。
従業員の同意なく情報を第三者に提供することは避け、情報の漏洩防止のためのセキュリティ対策を講じます。

⑶ウェブサイトからの情報収集

ウェブサイトから得た個人情報も、その利用目的を明確にし、その範囲内でのみ使用します。
また、クッキーなどを用いて個人情報を収集する場合は、その旨を明示し、ユーザーの同意を得ることが必要です。

以上のように、企業が個人情報を取り扱う際は、その情報の取得、利用、提供、保管、廃棄など、全ての段階で適切な管理を行うことが求められます。
セキュリティ対策には様々な方法がありますが、以下に具体的な例をいくつか挙げてみます。

ファイアウォールの設置

ファイアウォールは、不正な通信をブロックするためのシステムです。企業のネットワークとインターネットとの間に設置し、企業内部への不正アクセスを防ぎます。

アンチウイルスソフトの導入

コンピュータウイルスからシステムを守るためには、アンチウイルスソフトの導入が必要です。これにより、ウイルスに感染したファイルを検出・除去することができます。

パスワードポリシーの設定

強固なパスワードを設定することで、不正アクセスを防ぐことができます。パスワードは定期的に変更し、複雑なものにすることが推奨されます。

パッチ管理

ソフトウェアのセキュリティホールを塞ぐために、定期的にパッチ（修正プログラム）を適用することが重要です。

データの暗号化

機密性の高い情報は、第三者に読み取られないように暗号化することが必要です。

教育

セキュリティ対策は技術だけでなく、個人情報の取り扱いへの意識も重要です。入社時から新入社員研修などで従業員に対するセキュリティ教育を行い、安全な情報管理を心掛けるようにすることも大切です。

7.プライバシーマークにおける「個人情報」の取り扱い

⑴個人情報保護方針

Pマーク制度では、企業が個人情報を適切に管理し、保護するための「個人情報保護方針」の策定が求められます。
この方針は、企業が個人情報をどのように取り扱うか、どのような対策を講じるかを明確に示すもので、企業の個人情報保護への取り組みを外部に示す重要なツールとなります。

具体的には、個人情報の取得、利用、提供の範囲を明確にし、適切な管理を行うための体制や制度を設け、それらを遵守することを宣言します。

また、個人情報の取扱いに関する苦情や相談に対応する窓口を設けることも求められます。
個人情報保護方針は、企業の個人情報保護への姿勢を具体的に示すものであり、その内容は企業ごとに異なります。

詳しくはこちらのリンクをご参照ください。

あわせて読みたい記事

個人情報保護方針とプライバシーポリシーの違い

１．個人情報保護方針とは 個人情報保護方針とは、企業や団体が個人情報を適切に保護するための方針やルールのことを指します。 この方針は、個人情報の収集、利用、管理、保護、破棄など、あらゆる段階において、…

⑵個人情報の取り扱いについて

「個人情報の取り扱いについて」というページは、企業が個人情報をどのように管理し、保護するかについての方針を公開しているものです。
これは、プライバシーマークにおいて、個人情報保護法に基づき、企業が個人情報を適切に取り扱うためのルールを明示することが求められているからです。
具体的には、個人情報の収集目的、利用範囲、第三者への提供の有無、安全管理措置、開示・訂正・利用停止の手続きなど、個人情報に関する様々な項目について明記されています。

詳しくはこちらのリンクをご参照ください。

あわせて読みたい記事

お問合せフォームに個人情報の同意ボタンは必須？わかりやすく解説！

お問合せフォームに、個人情報の同意ボタンがあるのは皆さん見たことがあるでしょう。 実際、プライバシーマークの観点から言うと、お問合せフォームに「同意ボタン」は必須ではありません。 なぜ必須ではないのか…

⑶個人情報保護管理台帳

個人情報保護管理台帳とは、企業が個人情報を適切に管理するために使用するツールの一つです。

個人情報の収集、利用、提供、保存、廃棄など、個人情報のライフサイクル全体を通じて、その取り扱いを記録し、追跡するためのものです。

個人情報の種類、収集方法、利用目的、提供先、保管期間、廃棄方法等の情報を管理台帳に記録することで、企業は個人情報の取り扱いを適切に管理することができます。

個人情報保護管理台帳について詳しくはこちらのリンクをご参照ください。

あわせて読みたい記事

Pマーク審査に役立つ！個人情報管理台帳のサンプル＆作成のコツ

「どんな流れで個人情報管理台帳を作成すればいいのか？」 「どの範囲まで個人情報を特定すればいいのか？」 Pマーク取得担当の方がつまづくのが、個人情報管理台帳の作成ではないでしょうか。 そこで、この通り…

8.まとめ

個人情報とは特定の個人を識別できる情報のことで、近年では、インターネットの普及に伴い、SNSの投稿内容や閲覧履歴、位置情報、顔写真、防犯カメラの映像、静脈、指紋、虹彩等の生体情報は個人を特定することができるため個人情報として取扱われるようになりました。

情報化社会の進展に伴い、個人情報が電子化され、容易に取り扱われるようになったことが個人情報保護法の制定や改訂の背景です。

企業における個人情報の取り扱いにも様々なセキュリティ対策が求められます。
その中でもプライバシーマーク取得事業者は、外部に向けて個人情報保護の取り組みを示すことも重要です。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら